IDS

概念-IDS是什么IDS(IntrusionDetectionSystems)入侵检测系统。具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。发展背景当前的可信计算机安全评估准则（TCSEC）不能适应当前动态变化的要求传统的信息安全技术都集中在系统自身的加固和防护上防火墙技术具有局限性防火墙难于防内部攻击中类型基于主机的入侵检测系统基于网络的入侵检测系统监测内容•基于主机的IDS检测系统如下信息监测系统监测系统事件WindowsNT下的安全记录UNIX环境下的系统记录对关键系统文件和可执行文件定期检查校验对端口活动进行监控基于网络的入侵检测系统基于网络的IDS系统使用原始数据包作为数据源利用混杂模式下的网卡监视并检查通信流攻击辨识模块•IDS使用四种常用技术来识别攻击标志1.模式、表达式或字节匹配2.频率或穿越阀值3.次要事件的相关性4.统计学意义上的非常规现象检测响应方式•IDS主要有以下三种响应方式1.报警通知管理员2.主动响应，中断网络连接3.将会话记录存入数据库，为事后司法单位提供证据通用模型•CommonIntrusionDetectionFramework(CIDF)1.事件产生器（Eventgenerators）2.事件分析器（Eventanalyzers）3.响应单元（Responseunits）系统框图阐述网络引擎和主机代理属于CIDF中的事件产生器（Eventgenerators）存储系统的作用是用来存贮事件产生器捕获的原始数据、分析结果等重要数据分析系统是对事件发生器捕获的原始信息、其他入侵检测系统提供的可疑信息进行统一分析和和处理的系统响应系统是对确认的入侵行为采取相应措施的子系统控制台是整个入侵检测系统和用户交互的界面模式匹配•模式匹配工作过程1.从网络数据包的包头开始和攻击特征比较2.如果比较结果相同，则检测到一个可能的攻击3.如果比较结果不同，从网络数据包中下一个位置重新开始比较。4.直到检测到攻击或网络数据包中的所有字节匹配完毕，一个攻击特征匹配结束5.对于每一个攻击特征，重复1〕开始的比较6.直到每一个攻击特征匹配完毕，对给数据包的匹配完毕。模式匹配•00050dac6f2d600b0d04dcbaa08004500.P.......M....E.•10015731054000800600000a0a0231d850.W1.@........1.P•20111106a30050df62322e413a9cf15018.....P.b2.A:..P.•3016d0f6e50000474554202f70726f6475......GET/produ•406374732f776972656c6573732f696d61cts/wireless/ima•506765732f686f6d655f636f6c6c616765ges/home_collage•60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..•704163636570743a202a2f2a0d0a526566Accept:*/*..Ref•80657265723a20687474703a2f2f777777erer:•902e616d657269746563682e636f6d2f70.ameritech.com/p•a0726f64756374732f776972656c657373roducts/wireless•b02f73746f72652f0d0a4163636570742d/store/..Accept-•c04c616e67756167653a20656e2d75730dLanguage:en-us.•d00a4163636570742d456e636f64696e67.Accept-Encoding•e03a20677a69702c206465666c6174650d:gzip,deflate.•f00a557365722d4167656e743a204d6f7a.User-Agent:Moz•100696c6c612f342e302028636f6d706174illa/4.0(compat•11069626c653b204d53494520352e30313bible;MSIE5.01;•1202057696e646f7773204e5420352e3029WindowsNT5.0)•1300d0a486f73743a207777772e616d6572..Host:•14069746563682e636f6d0d0a436f6e6e65itech.com..Conne•1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv•160650d0a0d0ae....模式匹配实例•监听到如下网络数据包AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456匹配攻击模式“GET/cgi-bin/./phf”1.比较包头如下–GET/cgi-bin/./phf---–AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456–比较不成功移动一个字节重新比较–-GET/cgi-bin/./phf—–AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456–还是不成功再移动一次–--GET/cgi-bin/./phf-–AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456–不成功4.重复比较，没有一次匹配成功计算量大：对于一个特定网络的每秒需要比较的最大次数为：攻击特征字节数×网络数据包字节数×每秒数据包数量×攻击特征数量如果所有攻击特征长度为20字节，网络数据包平均长度为30字节，每秒30,000数据包，供给特征库中有4000条特征，那么，每秒比较次数为：20x300x30,000x4,000=720,000,000,0002.检测准确性差：传统的模式匹配只能检测特定类型的攻击。–GET/cgi-bin/./phf–GET%00/cgi-bin/phf–GET/%63%67%69%2d%62%69%6e/phf注意：以上都是合法而且有效的。但以上的匹配方法却不能检测协议分析•00050dac6f2d600b0d04dcbaa08004500.P.......M....E.•10015731054000800600000a0a0231d850.W1.@........1.P•20111106a30050df62322e413a9cf15018.....P.b2.A:..P.•3016d0f6e50000474554202f70726f6475......GET/produ•406374732f776972656c6573732f696d61cts/wireless/ima•506765732f686f6d655f636f6c6c616765ges/home_collage•60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..•704163636570743a202a2f2a0d0a526566Accept:*/*..Ref•80657265723a20687474703a2f2f777777erer:•902e616d657269746563682e636f6d2f70.ameritech.com/p•a0726f64756374732f776972656c657373roducts/wireless•b02f73746f72652f0d0a4163636570742d/store/..Accept-•c04c616e67756167653a20656e2d75730dLanguage:en-us.•d00a4163636570742d456e636f64696e67.Accept-Encoding•e03a20677a69702c206465666c6174650d:gzip,deflate.•f00a557365722d4167656e743a204d6f7a.User-Agent:Moz•100696c6c612f342e302028636f6d706174illa/4.0(compat•11069626c653b204d53494520352e30313bible;MSIE5.01;•1202057696e646f7773204e5420352e3029WindowsNT5.0)•1300d0a486f73743a207777772e616d6572..Host:•14069746563682e636f6d0d0a436f6e6e65itech.com..Conne•1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv•160650d0a0d0a协议分析实例•协议分析有效利用了网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在•同样数据包–AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456•协议规范